Tim Riset dan Analisis Global Kaspersky (GReAT) mengungkap kampanye malware Android baru yang menyebarkan Trojan BeatBanker dengan menyamar sebagai aplikasi Starlink untuk Android. Menurut temuan Kaspersky, target utama kampanye ini adalah pengguna di Brasil, meski tidak menutup kemungkinan pengguna di negara lain juga terdampak.
Dalam kampanye ini, BeatBanker disebut menjalankan penambang aset kripto Monero serta menginstal alat administrasi jarak jauh (remote administration tool/RAT) bernama BTMOB pada perangkat yang terinfeksi. Untuk mempertahankan keberadaannya di perangkat korban, BeatBanker menggunakan mekanisme tidak biasa yang melibatkan pemutaran file audio berulang yang nyaris tidak terdengar.
Fabio Assolini, Kepala unit Amerika & Eropa di Kaspersky GReAT, menjelaskan bahwa varian BeatBanker sebelumnya sempat terlihat didistribusikan dengan kedok aplikasi layanan publik yang memasang Trojan perbankan selain penambang kripto. Namun, deteksi terbaru Kaspersky menemukan kampanye baru dengan varian lain yang menyebarkan RAT BTMOB alih-alih modul perbankan. Ia menilai penyerang menggunakan umpan baru berupa aplikasi Starlink untuk menjangkau lebih banyak korban dari berbagai negara, sehingga pengguna diminta tetap waspada dan menggunakan solusi perlindungan yang memadai.
Kaspersky menilai pelaku menyebarkan aplikasi Starlink palsu yang memuat Trojan BeatBanker melalui halaman phishing yang meniru Google Play Store. Setelah dijalankan, Trojan menampilkan antarmuka pengguna yang juga menyerupai Google Play, lalu menipu korban agar memberikan izin instalasi sehingga muatan berbahaya tambahan dapat diunduh secara tersembunyi.
Ketika pengguna menekan tombol “PERBARUI” pada halaman Google Play palsu tersebut, penambang kripto Monero akan dijalankan. BeatBanker memantau persentase baterai, suhu perangkat, dan aktivitas pengguna, kemudian menyalakan atau menghentikan penambang kripto tersembunyi berdasarkan kondisi tersebut.
Selain itu, BeatBanker menginstal RAT BTMOB yang memungkinkan kendali jarak jauh penuh dan dipasarkan sebagai Malware-as-a-Service. Kaspersky menyebut BTMOB mampu memberikan izin secara otomatis, menyembunyikan notifikasi sistem, serta memiliki mekanisme untuk menangkap kredensial kunci layar, termasuk PIN, pola, dan kata sandi. Malware ini juga dapat memberikan akses ke kamera depan dan belakang, memantau lokasi GPS, serta mengumpulkan data sensitif secara berkelanjutan.
Untuk menghambat penghapusan, BeatBanker mempertahankan notifikasi tetap di latar depan dan mengaktifkan layanan latar depan melalui pemutaran media senyap. Taktik ini dirancang agar sistem operasi tidak menghapus proses berbahaya yang berjalan.
Kaspersky menyatakan produknya mendeteksi ancaman ini sebagai HEUR:Trojan-Dropper.AndroidOS.BeatBanker dan HEUR:Trojan-Dropper.AndroidOS.Banker.*. Untuk mengurangi risiko ancaman seluler, Kaspersky merekomendasikan pengguna mengunduh aplikasi hanya dari toko aplikasi resmi seperti Apple App Store dan Google Play, sambil tetap menyadari bahwa toko resmi pun tidak selalu bebas risiko. Pengguna juga disarankan memeriksa ulasan aplikasi, menggunakan tautan dari situs resmi, memasang perangkat lunak keamanan yang andal, meninjau izin aplikasi—terutama izin berisiko tinggi seperti Layanan Aksesibilitas—serta rutin memperbarui sistem operasi dan aplikasi penting saat pembaruan tersedia.
